應(yīng)對安全挑戰(zhàn) 影響企業(yè)風(fēng)險(xiǎn)管理的三項(xiàng)趨勢

申請免費(fèi)試用、咨詢電話：400-8352-114

在這個(gè)新的全球環(huán)境中，公司都急于利用面向服務(wù)架構(gòu)( SOA ) 、云計(jì)算和其他分布式的計(jì)算模型，這給攻擊有了更多的漏洞可以利用，因此企業(yè)需要教育職工如何手應(yīng)對隨之而來的安全挑戰(zhàn)。

身份安全

每天都有數(shù)十億人在網(wǎng)上彼此連接，因此身份受到了高度關(guān)注。位于防火墻后面的應(yīng)用軟件已不再起保護(hù)作用。交易依賴于雙方信任的程度，而企業(yè)又把信任寄希望于其他的認(rèn)證系統(tǒng)。然而，考慮到身份盜竊和欺詐行為的不斷上升，很顯然，如果不設(shè)立政策，程序和最佳做法，那么信任是錯(cuò)位的，違規(guī)的或不確定的。

在SOA環(huán)境中這些概念變得更為復(fù)雜，因?yàn)樯矸莶痪窒抻趩为?dú)的用戶。通常，服務(wù)本身必須有一個(gè)身份。也就是說，當(dāng)一個(gè)服務(wù)調(diào)用其他服務(wù)時(shí)，每個(gè)服務(wù)都需要一個(gè)身份。例如，航運(yùn)服務(wù)可能會(huì)被命令處理系統(tǒng)自動(dòng)調(diào)用，而且系統(tǒng)必須將航運(yùn)服務(wù)識(shí)別為一個(gè)值得信賴的身份，否則調(diào)用命令就失敗。從命令處理到醫(yī)療衛(wèi)生許可，再到高價(jià)值的銀行業(yè)務(wù)，每個(gè)企業(yè)必須非常謹(jǐn)慎地對待SOA安全問題。信任是推動(dòng)這些業(yè)務(wù)的核心原則。失敗的策略的影響可以觸及所有通往底線的途徑。

此外，身份確認(rèn)制度繼續(xù)擴(kuò)張，迫使人成為自己的身份管理員，玩弄自我創(chuàng)造和由第三方發(fā)行的身份，從事每一項(xiàng)服務(wù)，并且在越來越多的身份曝光中權(quán)衡著隱私和聲譽(yù)。個(gè)人也必須有一套共同的 “操作程序”來引導(dǎo)新的安全格局。

展望未來，所面臨的挑戰(zhàn)在于，發(fā)展一套共同的身份政策，程序，最佳做法和技術(shù)以及多用途的可用于整個(gè)服務(wù)供應(yīng)商的身份系統(tǒng)。這些系統(tǒng)應(yīng)該能夠容納復(fù)雜的身份關(guān)系，同時(shí)為定位那些相同的身份提供一種簡化的方式

信息安全

這已經(jīng)成為企業(yè)高層思考的問題，各機(jī)構(gòu)可以期望有一個(gè)持續(xù)的推動(dòng)以盡量減少數(shù)據(jù)泄露的風(fēng)險(xiǎn)。因此，應(yīng)該將新的關(guān)注放在隱私管理工具掩蓋數(shù)據(jù)的能力上，特別是在非生產(chǎn)環(huán)境，如應(yīng)用開發(fā)的數(shù)據(jù)保護(hù)領(lǐng)域，因?yàn)閿?shù)據(jù)保護(hù)持續(xù)短缺。這可以加強(qiáng)密碼系統(tǒng)的需要，以及隨之而來的化繁為簡的需求。

集體, 安全實(shí)踐——其中包括數(shù)據(jù)管理，數(shù)據(jù)監(jiān)測，以策略為基礎(chǔ)的數(shù)據(jù)分類和安全要求的記錄，應(yīng)為某一特定的存放處提供計(jì)算和反映安全保護(hù)的指標(biāo)。這些指標(biāo)可以用來制定指導(dǎo)數(shù)據(jù)庫使用的 “信任指數(shù)”。具備高度信任指數(shù)集合的數(shù)據(jù)庫可用于高風(fēng)險(xiǎn)的決定;反之，存放在低信任指數(shù)集合的數(shù)據(jù)庫只能用于低風(fēng)險(xiǎn)的活動(dòng)。這些庫可在整個(gè)企業(yè)里重復(fù)使用，而且適用于接收外來的各種信息，特別是混搭程序持續(xù)成為主宰創(chuàng)新的動(dòng)力的情況下。

應(yīng)用安全

2008年，一種新的威脅——被稱為搜索引擎優(yōu)化( SEO )代碼注入，造成大約120萬的網(wǎng)站中毒，其中包括一些高知名度的網(wǎng)站。從這個(gè)特別的破壞性威脅中，人們清楚地看到，面對黑客攻擊，應(yīng)用軟件又回到了起點(diǎn)。

部分的脆弱性存在于從整體應(yīng)用到復(fù)合應(yīng)用的演變過程，同時(shí)存在于SOA式的的進(jìn)程設(shè)計(jì)中，并遍及Web 2.0風(fēng)格的工具和混搭程序中。這些復(fù)合應(yīng)用程序可以在一個(gè)真正的混合搭配的方式中，包含源自各種材料的應(yīng)用程序代碼。雖然它極大地提高編程效率，使許多幾乎沒有訓(xùn)練非程序員能夠編寫復(fù)雜的應(yīng)用軟件，但是也讓應(yīng)用程序變得容易有漏洞。

也許，可組合的應(yīng)用程序最大的挑戰(zhàn)是，無法使應(yīng)用程序充分理解編程語言，安全態(tài)勢。直至應(yīng)用程序被安裝，所有誘發(fā)因素都暴露，包括惡意軟件和漏洞，人們才發(fā)現(xiàn)為時(shí)已晚。安全發(fā)展方面的專業(yè)知識(shí)正被嵌入到工具和開發(fā)平臺(tái)，這樣一來，每一個(gè)發(fā)展階段都可以執(zhí)行安全檢查了。

這些安全的趨勢也可以為前瞻性的公司提供大量的機(jī)會(huì)。所以，企業(yè)怎樣管理風(fēng)險(xiǎn)，將決定企業(yè)要么蓬勃發(fā)展，要么在面對新興技術(shù)前失敗。（IT專家網(wǎng)）